Vous souvenez-vous de l'époque où un nom d'utilisateur et un mot de passe vous permettaient d'accéder à presque tout ? La sécurité de l'identité a considérablement évolué - et continue de le faire - en réponse à l'évolution constante des menaces liées à l'identité.
De l'authentification multifactorielle à l'authentification basée sur le risque et sans mot de passe, de nouvelles méthodes et de nouveaux outils pour sécuriser les identités apparaissent constamment, tandis que les experts en sécurité de l'identité s'efforcent d'aller plus vite que la croissance des menaces. La vérification d'identité représente une étape majeure dans cette évolution.
La vérification de l'identité est l'un des développements les plus importants dans l'évolution de la sécurité de l'identité. Elle représente une étape majeure dans ce qui peut être fait pour freiner l'abus de pouvoirs qui permet un accès non autorisé aux systèmes, aux applications et aux données d'une organisation.
La vérification de l'identité va au-delà de l'examen et de l'évaluation des informations d'identification de l'utilisateur. Il s'agit plutôt de confirmer que l'identité elle-même est authentique ; il s'agit de confirmer que l'utilisateur ou l'appareil qui demande l'accès est authentique, et pas seulement quelqu'un ou quelque chose en possession de ces informations d'identification.
Et s'il a toujours été possible, en théorie, de vérifier l'identité manuellement - en demandant à une personne de se présenter en personne, par exemple - cela n'est pas toujours pratique, en particulier à l'ère du travail à distance. C'est là que l'enrôlement sécurisé par vérification d'identité devient essentiel.
La vérification de l'identité est essentielle à des moments clés du cycle de vie de la sécurité de l'identité, en particulier dans des situations à haut risque telles que l'intégration d'un nouvel utilisateur ou la réinitialisation ou la récupération de ses informations d'identification. Elle est particulièrement utile dans les situations où il n'est pas pratique de vérifier l'identité d'un utilisateur, par exemple lorsqu'un employé, son responsable et le service d'assistance informatique travaillent dans des lieux différents.
L'enrôlement sécurisé est également essentiel pour confirmer qu'une organisation travaille réellement avec la personne qu'elle attend. Si une organisation recrute, intègre et donne accès à Jean, cet utilisateur a tout intérêt à être réellement Jean : le IBM Security Cost of a Data Breach Report 2023 (en anglais) a révélé que "les attaques lancées par des initiés malveillants étaient les plus coûteuses, avec une moyenne de 4,9 millions de dollars", et qu'il fallait 308 jours pour détecter les violations lancées par un initié. Le rapport Verizon 2024 Data Breach Investigations Report a révélé que les acteurs internes étaient responsables de 35% des violations de données, "une augmentation significative par rapport aux 20% de l'année dernière".
La vérification de l'identité d'un employé dès le départ est cruciale pour la sécurité à long terme. Un récent Annonce du service public FBI/IC3 a mis en lumière la menace que représente la Corée du Nord, qui utilise des personnes basées aux États-Unis pour obtenir un emploi frauduleux et accéder aux réseaux des entreprises américaines. Le principal conseil du FBI est de mettre en œuvre la vérification de l'identité lors de l'embauche afin de prévenir la fraude des candidats, soulignant ainsi l'importance de processus solides de vérification de l'identité.
Et même si l'espionnage parrainé par l'État semble trop dramatique, il y a toujours l'espionnage à moindre enjeu (mais toujours effrayant). faux candidat tendance lorsqu'une personne X passe un entretien pour un poste à pourvoir et que la personne Y se présente.
Sans vérification d'identité, il est tout à fait possible pour un imposteur d'obtenir des informations d'identification ou de récupérer les informations d'identification de quelqu'un d'autre en se faisant passer pour cette personne. La vérification de l'identité permet d'intervenir à des points à haut risque lorsque l'identité de l'utilisateur, le processus d'authentification de l'utilisateur ou les droits de l'utilisateur ne sont pas clairs. En 2022, des acteurs menaçants ont accédé au nuage et aux comptes de messagerie d'une organisation non gouvernementale en partie grâce à ce processus.
Le processus de vérification de l'identité clarifie chacun de ces points, en demandant à l'utilisateur non seulement de prouver qui il est sur la base des informations qu'il détient, mais aussi de vérifier qu'il est réellement... sont la personne qui a le droit d'avoir ces références.
Voici comment cela fonctionne aux points clés que nous avons mentionnés :
- Inscription aux diplômes: La vérification d'identité sécurise l'inscription en exigeant une preuve d'identité, telle que des données biométriques ou une pièce d'identité délivrée par le gouvernement, pour que les titres de naissance soient délivrés aux nouveaux utilisateurs. Les plateformes en ligne d'aujourd'hui rendent cette procédure non seulement sûre, mais aussi pratique et commode. Au lieu d'avoir à se présenter en personne avec une preuve d'identité en main, les utilisateurs peuvent le faire numériquement en utilisant la vérification d'identité. Cela permet aux travailleurs à distance et à leurs organisations de travailler efficacement et en toute sécurité.
- Récupération des données d'identification: Une fois que quelqu'un dispose d'identifiants de base tels que le nom d'utilisateur et le mot de passe, il n'est pas rare qu'un acteur malveillant tente de s'approprier ces identifiants en contactant le service d'assistance et en prétendant les avoir oubliés. Le service d'assistance Les attaques du ransomware ALPHV Les stations balnéaires de Las Vegas auraient commencé à utiliser cette technique, ce qui aurait coûté $100 millions de dollars de dommages et intérêts. Exiger une preuve d'identité est essentiel pour mettre fin à cette tentative, et cela peut désormais se faire de manière transparente pour un utilisateur légitime. C'est pourquoi RSA ajoutera la récupération des informations d'identification à son flux de travail de vérification d'identité dans le courant de l'année.
Chez RSA, nous travaillons avec ID Dataweb, leader dans le domaine de la vérification d'identité, afin de permettre aux clients de RSA de bénéficier de processus d'inscription et de récupération d'informations d'identification sécurisés. Notre partenariat intègre ces processus dans RSA My Page, notre capacité d'authentification unique (SSO).
La technologie ID Dataweb est parfaitement intégrée à RSA My Page, ce qui permet aux utilisateurs de vérifier rapidement et en toute sécurité leur identité par voie numérique, sans avoir à se rendre au bureau le plus proche. La récupération des informations d'identification se fait également sans effort.
"RSA reste un leader en matière de sécurité grâce à sa plate-forme d'identité unifiée de pointe", a déclaré Matt Cochran, vice-président des produits et des opérations chez ID Dataweb. "En intégrant les capacités inégalées d'ID Dataweb en matière de vérification d'identité, RSA dispose désormais d'un déploiement simple, en un clic et sans code, pour des flux de travail avancés de vérification d'identité. L'intégration de notre solution de pointe signifie que les utilisateurs de RSA peuvent être intégrés et productifs de manière transparente et sécurisée."
Pour l'inscription et l'identification, la vérification de l'identité est un simple processus d'authentification initiale suivi par le flux de travail de vérification d'ID Dataweb. Ce flux de travail est activé par OpenID Connect (OIDC) de RSA pour la vérification de l'utilisateur.
Tout cela fait partie de RSA Unified Identity Platform qui combine l'authentification, l'accès, la gouvernance et le cycle de vie pour aider les organisations à prévenir les risques, à détecter les menaces et à évoluer au-delà de l'IAM.
Télécharger notre résumé de la solution pour en savoir plus sur la vérification d'identité avec RSA.
